이미지로 인해 HTTPS 연결이 "안전하지 않습니다"


14

현재 웹 사이트에서 작업 중이며 SSL 인증서를 성공적으로 설치했습니다.

GeoTrust SSL / TLS 검사기는 인증 체인 (CA 포함)이 올바르게 설치되었음을 확인했습니다. Chrome에서는 모든 것이 잘 보이지만 자물쇠가 녹색이 아니며 Firefox에서는 실제로 암호화되지 않은 요소가 있기 때문에 웹 사이트가 안전하지 않다고 말합니다.

나는 온라인 서비스를 사용하여 그 이유를 확인했으며 실제로 내 이미지는 안전한 URL로 간주되지 않습니다. 웹 사이트에 이미지를 안전하게 포함시키는 방법은 무엇입니까?

답변:


32

이미지 태그는 현재 다음과 같아야합니다.

<img src="http://example.com/images/image.jpg">

http, 이미지가 안전하게 제공되지 않습니다. 공격자는 전송중인 이미지를 변경하여 안전한 페이지가 사용자에게 보이는 방식을 변경할 수 있습니다.

대신 다음 중 하나를 사용하여 이미지를 안전하게 제공 할 수 있습니다.

  • https명시 적으로 연결 :<img src="https://example.com/images/image.jpg">
  • 자신의 도메인에있는 이미지에 상대 링크를 사용하십시오. <img src="/images/image.jpg">
  • 다른 도메인의 이미지를 사용하려면 프로토콜 상대 링크를 사용하십시오. <img src="//example.com/images/image.jpg">

명시 https적은 항상 페이지가 안전하게 제공되지 않더라도 이미지를 안전하게 제공하는 반면, 상대적 링크는 페이지가 안전하게 제공되는 경우에만 이미지를 안전하게 제공합니다.

Firefox와 Chrome에서는 자물쇠를 클릭하고 문제에 대한 자세한 정보를 얻을 수 있습니다. 그렇게 한 후, 여기에 Firefox의 스크린 샷이 있으며 페이지의 모든 이미지 목록을 보여줍니다. 목록을 쉽게 검색하고 다음 중 하나를 확인할 수 있습니다 http.


2
"공격자는 전송중인 이미지를 변경하여 보안 페이지가 사용자에게 표시되는 방식을 변경할 수 있습니다." -또는 렌더러의 취약점을 유발할 수도 있습니다.
John Dvorak

2
그리고 액세스 토큰을 포함 할 수있는 쿠키를 가로 채십시오.
Darkhogg

그렇게하는 것이 좋습니다. 덕분에 녹색 자물쇠를 사용할 수 있었지만 친구가 이미지를 암호화하면 페이지 속도가 느려질 수 있다고 말했습니다. 제 경우에는 이것이 문제입니까?
mti_

3
암호화에는 약간의 오버 헤드가 있지만 요즘에는 보통 10 %를 넘지 않습니다. 이미지에 대한 성능 불이익은 안전한 사이트를 위해 지불해야하는 가격입니다.
Stephen Ostermiller

whynopadlock.com 은 특정 URL에서 안전하지 않은 리소스를 신속하게 찾아내는 편리한 도구입니다.
Ville

5

문제는 페이지가 https가 아닌 http 위치의 링크를 제공한다는 것입니다. 이는 이미지와 같은 리소스를 참조하기 위해 절대 http 링크를 사용하기 때문입니다. http 또는 https에서 링크를 참조하고이 문제를 피할 수있는 두 가지 더 좋은 방법이 있습니다.

이러한 링크를 찾아서 다음 중 하나로 변경해야합니다.

  1. 상대 링크 : 즉./wp-content/yourtheme/images/image1.jpg
  2. 또는//example.com/wp-content/wp-content/yourtheme/images/image1.jpg 다음 과 같이 도메인 앞에 // 배치합니다 . 그러면 요청이 이루어진 모든 요청에 ​​따라 http 또는 https를 통해 이러한 리소스를 제공합니다.

Chrome과 Firefox 모두에서 자물쇠 아이콘을 클릭 한 다음 클릭하여 문제가되는 안전하지 않은 링크 목록을 볼 수 있습니다. 그리고 브라우저에서 강조 표시된 이미지 나 기타 리소스를 볼 수 있지만 여전히 오류를 얻고있는 경우는 HTTP를 통해 절대적 링크를 참조하는 자바 스크립트 호출이 있음을 발견 할 수 있습니다 .


2
//처음에는 표준이 아니며 Lynx와 같은 브라우저가 불평합니다.
mirabilos

2
@mirabilos RFC 1808 은 URL의 표준이며 //2.4.3 절에서 프로토콜 상대 링크 (로 시작 )를 지정합니다 . 이 표준은 현재 15 세와 모든 주요 브라우저에서 구현되는 살쾡이 포함
스티븐 Ostermiller

#mirabilos 권장 Google 저장소 링크를 확인하십시오. 당신은 구글이 수년 동안 그것들을 사용해 왔음을 알게 될 것입니다.
garth

1

정말 기본입니다. SSL (https)을 통해 제공되는 웹 사이트를 구축 할 때 https로 시작하지 않는 코드 참조는 링크 이외의 보안 경고를 발생시킵니다. 대부분의 (모든) 브라우저는 기본적으로 http에 대한 상대 링크도 있습니다. 따라서 /uploads/12/5/img.jpg 또는 /js/jquery.js를 참조하면 전송 프로토콜의 기본값은 http로 설정됩니다.

모든 브라우저는 경고를 약간 다르게 처리하지만 일종의 메시지가 표시됩니다. 일반적으로 새로운 브라우저는 메시지가 더 심각 할 것입니다. 최신 브라우저는 누락 된 "s"로 인해 사용자의 세계가 공격을받는 것처럼 작동하는 반면 일부 구형 브라우저는 이러한 오류를 실제로 무시합니다.


10
"대부분의 (모든) 브라우저는 기본적으로 http에 대한 상대 링크"Err, 무엇? 새로운 브라우저를 명시 적으로 지정하지 않으면 모든 브라우저가 손상되지 않는 한 현재의 프로토콜을 사용하게됩니다.
Oleg V. Volkov

5
올렉이 옳습니다. 그것은 "성가신"이 아닙니다. 그것은 완전히 틀 렸습니다.
Monica와의 가벼움 경주

3
이것은 완전히 잘못되었습니다. 이 답변을 무시하십시오.
martijnve

@martijnve-내 대답은 어떻습니까?
blankip December

4
@blankip oleg V. Volkovs의 의견을 참조하십시오. http를 포함하는 모든 참조가 잘못되었습니다. 다른 모든 사람들은 괜찮습니다. (프로토콜 상대, 도메인 상대, 경로 상대). 어쨌든 거의 모든 경우에 상대 링크를 사용해야합니다.
martijnve

1

웹 페이지에서 SSL을 활성화 한 후 이미지를 표시 할 수 없을 때 이러한 제안 중 어느 것도 도움이되지 않으면 cPanel의 보안 섹션에있는 핫 링크에 대한 cPanel 설정이 있는지 확인하십시오. : 그것은이 설정에서 다음과 같은 것을 매우 가능성 http://example.comhttp://www.example.com그동안 이미지에 액세스 할 수 있도록 활성화 된 https이 버전은 사용할 수 없습니다.


-4

cms / wordpress / magento 또는 사용중인 다른 플랫폼에서 보안 URL 프로토콜 구성을 확인하십시오. 일부 이미지 태그를 공유 할 수도 있지만 기본 img src 이미지에는 이러한 종류의 오류가 없습니다.

이미지 태그 구조는 중요하지만 귀하의 질문의 초점은 귀하의 사이트에 설치된 SSL 인증서 "유형"과 관련이 있다고 생각합니다. "표준 GoDaddy SSL 인증서로 개인 사건이 발생했습니다.

Firefox (특히) URL 검색 창에 사이트에 안전하지 않은 이미지 나 요소가있을 수 있다는 경고 아이콘이 표시됩니다. 내가 아는 한 firefox가 인증서에 대한 정보 또는 인증서에 포함 된 정보를 처리하는 방법에 관한 문제입니다. 이것은 사파리, 크롬 또는 다른 브라우저에서는 발생하지 않습니다. 사이트 회사에 대한 자세한 정보가 있는 "표준 SSL"대신 "프리미엄 SSL 인증서 또는 EVC 확장 유효성 검사 인증서 " 대신 설치하는 솔루션이 있습니다. 녹색 자물쇠 보안 URL 표시 줄이 나타납니다.

그러나 프리미엄 SSL 인증서는 연간 150-200 달러 정도의 비용이 조금 더 비쌀 수 있습니다.

여기에 이미지 설명을 입력하십시오


5
1) <IMG SRC = "이 ..."> 태그 할 수 있기 때문에 이것은 사실이 아니다 실제로 이런 종류의 오류를 줄 당신이 ceritificate 또는의 HTTP URL (반대와 같은 HTTPS URL) 및 2) 유형을 입력하면, 그것이 처리되는 방식은 이것과 전혀 관련이 없습니다
fNek

SSL 프로토콜 유무에 관계없이 {{media url = "path / to / image.jpg"}}와 같은 img src 글로벌 미디어 태그에 사용하며 오류가 없습니다. 그런데 Stephen의 Firefox를 가리키는 메신저 ssl 오류가 표시되었습니다. 문안 인사.
Gaio RoOts

3
상대 URL을 사용하면 상대 URL이므로 문제가 없습니다. 다른 답변을 읽으십시오. 나는 당신이 Stephen의 오류를 언급하고 있다는 것을 알고 있습니다. 인증서 유형은 여전히 ​​인증서와 관련이 없습니다.
fNek

인증서 유형은 소위 '혼합 콘텐츠 경고'에 영향을 미치지 않습니다. 또한 요즘의 모든 최신 브라우저는 잠금 아이콘 표시를 거부하여 경고를 표시합니다.
Martijn Heemels
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.